网络安全

域名

域名只是个逻辑概念，并不代表计算机所在的物理地点
.cn 表示中国
.us 表示美国
.uk 表示英国

域名服务器

• 一个服务所负责管辖的（或有权限的）范围叫做区（zone）。
• 各单位根据具体情况来划分自己管辖范围的区。但在一个区中的所有节点必须是能够连通的。
• 每一个区设置相应的权限域名服务器，用来保存该区中所有主机的域名到IP地址的映射。
• DNS服务器的管辖范围不是以“域”为单位，而是以“区”为单位。

网络安全

类型

• 主动攻击
  篡改响应信息、恶意程序植入到目的服务器、
  拒绝服务：攻击者向互联网上的某个服务器不停地发送大量分组，使该服务无法提供正常服务，甚至完全瘫痪。

• 被动攻击
  指攻击者从网络上窃听他人的通信内容，通常把这类攻击称为截获。在被动攻击总，攻击者只是观察和分析某一个协议数据单元PDU，以便了解所交换的数据的某种性质。但不干扰信息流，这种被动攻击又称为流量分析。

计算机网络通信安全的目标

• 对于主动攻击，可以采取适当措施加以检测
• 对于被动攻击，通常是检测不出来的。
• 目标
  防止分析出报文内容和流量分析；
  防止恶意程序；
  检测更改报文流和拒绝服务
• 对付被动攻击可采用各种数据加密技术
• 对付主动攻击则需将加密技术和适当的鉴别技术相结合

保密性：密码技术
端点鉴别：鉴别信息的发送方和接收方的真实身份
信息的完整性：信息的内容未被篡改过
运行的安全性：访问控制，必须对访问网络的权限加以控制，并规定每个用户的访问权限

两类密码体制

• 对称密钥密码体制
  加密密钥与解密密钥是相同的密码体制
  数据加密标准DES：是一种分组密码，在加密前，先对整个明文进行分组，每一个组长为64位，然后对每个64位二进制数据进行加密处理，产生一组64位密码数据，最后将各组密文串接起来，即得出整个密文，使用的密钥为64位
  三重DES：使用两个56位的密钥，把一个64位明文用一个密钥加密，再用另一个密钥解密，然后再使用第一个密钥加密
• 公钥密码体制
  使用不同的加密密钥与解密密钥，加密密钥PK是向公众公开的，而解密密钥SK则是需要保密的。
  虽然私钥SK是由公钥PK决定的，但却不能根据PK计算出SK。

数字签名

用于证明真实性
数字签名必须保证以下三点：

1. 报文鉴别 - 接受者能够核实发送者对报文的签名
2. 报文的完整性 - 发送者事后不能抵赖对报文的签名
   基于公钥的数字签名的实现：
   因为除A外没有别人能具有A的私钥，所以除A外没有别人能产生这个密文。因此B相信报文 X 是 A 签名发送的。
   若 A 要抵赖曾发送报文给 B ，B可将明文对应的密文出示给第三者。第三者很容易用A 的公钥去证实A 确实发送 X 给 B。
   反之，若 B 将X伪造成X1，则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。

密码散列函数：一种相对简单的对报文进行鉴别的方法
MD5和SHA-1